A Kaspersky alerta para um malware que rouba frases-semente criptográficas em dispositivos móveis

Pesquisadores de segurança da Kaspersky descobriram uma campanha de malware para dispositivos móveis que tinha como alvo usuários de criptomoedas por meio de aplicativos infectados.

O spyware SparkKitty supostamente rouba capturas de tela de dispositivos contendo frases-chave usando tecnologia de reconhecimento óptico de caracteres (OCR) em plataformas iOS e Android por meio das lojas de aplicativos oficiais.

O malware SparkKitty infiltra-se nas lojas de aplicativos oficiais, visando criptomoedas

Pesquisadores da Kaspersky descobriram anteriordentdo malware SparkCat, que tinha como alvo carteiras de criptomoedas. A nova ameaça distribui aplicativos maliciosos por meio de fontes não oficiais, bem como pelas plataformas oficiais Google Play e App Store, e os aplicativos infectados já foram removidos do Google Play após a notificação dos pesquisadores.

O SparkKitty ataca as plataformas iOS e Android com múltiplos mecanismos de distribuição para cada uma. No iOS, as cargas maliciosas são distribuídas por meio de frameworks que se disfarçam de bibliotecas legítimas, como AFNetworking.framework ou Alamofire.framework, ou bibliotecas ofuscadas que se disfarçam de libswiftDarwin.dylib. O malware também se insere diretamente nos aplicativos.

Os sistemas operacionais Android utilizam as linguagens Java e Kotlin, sendo as versões em Kotlin empregadas como módulos Xposed maliciosos. A maioria das versões de malware sequestra indiscriminadamente todas as imagens nos dispositivos, embora pesquisadores tenham detectado agrupamentos maliciosos semelhantes que utilizam reconhecimento óptico de caracteres (OCR) para atacar imagens específicas com informações sensíveis.

A campanha está ativa desde pelo menos fevereiro de 2024 e também compartilhou táticas de segmentação e infraestrutura com a operação anterior da SparkCat.

O SparkKitty tem um alcance maior do que o ataque direcionado do SparkCat às frases-semente de criptomoedas, pois coleta todas as imagens disponíveis em dispositivos infectados. Isso tem o potencial de extrair outros tipos de informações financeiras e pessoais sensíveis armazenadas nas galerias de imagens dos dispositivos.

Mods do TikTok de lojas obscuras servem como principal vetor de infecção

Os analistas da Kaspersky descobriram a campanha inicialmente ao traclinks suspeitos que propagavam modificações nos aplicativos TikTok para Android. Os aplicativos modificados executavam código malicioso adicional quando os usuários iniciavam as atividades principais do aplicativo.

Os URLs dos arquivos de configuração foram apresentados como botões dentro dos aplicativos comprometidos, iniciando sessões WebView para exibir o TikToki Mall, um portal de compras online que aceita criptomoedas para a compra de itens de consumo.

O cadastro e as compras eram restritos, exigindo códigos de convite, portanto os pesquisadores não conseguiram determinar a legitimidade da loja nem se ela estava em funcionamento. Vetores de infecção do iOS exploram perfis corporativos do Programa de Desenvolvedores da Apple para burlar as restrições normais de instalação de aplicativos.

Os atacantes sequestram certificados corporativos para distribuição de aplicativos em nível empresarial, permitindo que aplicativos maliciosos sejam instalados em qualquer dispositivo sem a aprovação da App Store. O uso indevido de perfis corporativos é uma tática comum empregada por desenvolvedores de aplicativos inadequados, como cassinos online, cracks de software e modificações ilegais.

As versões infectadas do aplicativo TikTok para iOS solicitam permissões da galeria de fotos durante a inicialização, algo que não ocorre nas versões legítimas do TikTok. O malware está integrado a frameworks que se fazem passar pelo AFNetworking.framework e adultera as classes AFImageDownloader e outros componentes do AFImageDownloaderTool.

Variantes de malware para Android roubam imagens por meio de aplicativos com temática de criptomoedas

As versões para Android do SparkKitty operam por meio de aplicativos com temática de criptomoedas que contêm código malicioso embutido nos pontos de entrada. O malware solicita arquivos de configuração que contêm endereços de servidores de comando e controle, descriptografando-os usando criptografia AES-256 no modo ECB antes de estabelecer comunicação com servidores remotos.

O roubo de imagens ocorre por meio de um processo em duas etapas que envolve a identificação do dispositivo e mecanismos de upload seletivo. O malware cria hashes MD5 combinando o IMEI do dispositivo, endereços MAC e UUIDs aleatórios, armazenando essesdentem arquivos no armazenamento externo.

Os aplicativos de cassino utilizam a integração do framework LSPosed, funcionando como módulos Xposed maliciosos que interceptam os pontos de entrada dos aplicativos. Um aplicativo de mensagens infectado, com recursos de troca de criptomoedas, alcançou mais de 10.000 instalações no Google Play antes de ser removido após notificações da Kaspersky.

Os aplicativos web progressivos (PWAs) se propagam por meio de plataformas fraudulentas que anunciam esquemas Ponzi em redes sociais populares. Essas páginas que contêm PWAs induzem os usuários a baixar arquivos APK que registram gerenciadores de download de conteúdo, processando imagens JPEG e PNG por meio da tecnologia de reconhecimento óptico de caracteres (OCR) do Google ML Kit paradentcapturas de tela contendo texto.